Исследование Positive Technologies: киберпреступники атакуют жертв руками их коллег

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
Анализ актуальных киберугроз за II квартал 2024 года показал, что социальная инженерия осталась одним из основных методов атаки на организации, при этом в 83% случаев использовались электронные письма

Эксперты Positive Technologies зафиксировали сложные схемы фишинга: злоумышленники стали отправлять письма сотрудникам компаний с просьбой переслать их жертвам.

Кроме того, во II квартале продолжила расти доля использования ВПО для удаленного управления (remote access trojan, RAT) в атаках на организации, а также было выявлено массовое распространение скиммеров.

Исследование Positive Technologies: киберпреступники атакуют жертв руками их коллег


Социальная инженерия использовалась в каждой второй успешной атаке на компании (51%). В мае специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали необычную фишинговую рассылку от кибергруппировки Hive0117.

Одно из писем, к которому был приложен защищенный паролем архив, содержавший бэкдор DarkWatchman, пришло сотруднику холдинговой компании. Чтобы вызвать доверие получателя, злоумышленники замаскировали сообщение под ответ на некое ранее отправленное письмо, а в тексте намекнули на срочность — якобы идет налоговая проверка — и попросили переслать информацию бухгалтеру. Такие атаки имеют высокие шансы на успех, потому что коллеги, как правило, воспринимаются как доверенные лица.

Использование вредоносного ПО по-прежнему занимает лидирующую позицию среди других методов кибернападений на компании (64%). При этом второй квартал подряд эксперты отмечают увеличение доли инцидентов с применением ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%). По сравнению с первыми тремя месяцами текущего года рост составил 9% и 5% соответственно.

Киберпреступники стали чаще использовать RAT, с помощью этого типа ВПО можно получить постоянный доступ ко взломанным системам для длительного шпионажа за жертвами.

«Злоумышленники активно распространяют инструменты RAT, в том числе через различные менеджеры пакетов, такие как npm, PyP, имитируя названия реальных файлов. Популярность этого способа возросла на 15% по сравнению с предыдущим кварталом, а значит, разработчики ПО стали одними из основных целей киберпреступников в первом полугодии.

— Злоумышленники искусно совершенствуют методы распространения ВПО и сами программы, чтобы оставаться незаметными. Например, новая версия зловреда CraxsRAT может обходить встроенный антивирус на устройствах под управлением Android — Google Play Protect, а также позволяет внедрять вредоносную нагрузку в APK-файлы, и это тревожный звонок для безопасности смартфонов на этой платформе».

По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась на 9% и составила 22%. Эксперты связывают это с массовым распространением скиммеров. Например, специалисты компании Sucuri обнаружили новый веб-инструмент — Caesar Cipher, нацеленный на системы управления контентом, такие как WordPress, Magento, OpenCart. Украденные данные злоумышленники используют в дальнейших атаках и продают в даркнете.

С учетом специфики киберугроз II квартала эксперты Positive Technologies рекомендуют:
  • Частным лицам: вдумчиво читать письма, даже если они пришли от знакомых пользователей, не открывать сразу защищенные паролем архивы, проверять подлинность подозрительных сообщений, связываясь с отправителями по другим каналам, а также изучать незнакомые ресурсы перед тем, как ввести личные данные.

  • Разработчикам ПО: регулярно обновлять инструменты для управления исходным кодом и проверять пакеты, внедрить практику безопасности цепочек поставок, используя инструменты application security.

  • Организациям: периодически проводить инвентаризацию ИТ-активов и классифицировать их по степени важности, вводить политики разграничения доступа к данным и отслеживать обращения к чувствительной информации. Для защиты периметра эксперты советуют применять межсетевые экраны веб-приложений и налаживать процессы управления уязвимостями.

 
  • Теги
    киберпреступники социальная инженерия фишинговая рассылка фишинговое письмо
  • Сверху Снизу